🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
الفئةذكاء البرامج الضارةاسم البرامج الضارةبلاك ماترعائلة البرامج الضارة رانسوم ويرالصناعات المتأثرةمتعددالمنطقة المتأثرةعالمينظام التشغيل المستهدفويندوز/لينكس
إعلان BlackMatter على منتدى الجرائم الإلكترونية [/caption]
المعلومات التي تمت مشاركتها من قبل مشغلي برامج الفدية BlackMatter [/caption]
ملخص تنفيذي
- BlackMatter هي سلالة جديدة من برامج الفدية التي تم تحديدها لأول مرة في يوليو 2021. برنامج الفدية الذي ظهر حديثًا هو تابع لـ Darkside ويستهدف مناطق مختلفة في جميع أنحاء العالم، وخاصة الولايات المتحدة والمملكة المتحدة وأستراليا وكندا.
- تستهدف برامج الفدية هذه الأنظمة المستندة إلى Windows و Linux مثل NAS (التخزين المتصل بالشبكة) وخوادم ESXi.
- يدعي مشغلو برامج الفدية BlackMatter أنها تجمع بين أفضل جوانب برامج الفدية ReVil و Darkside و Lockbit. وهي تستهدف مجموعة متنوعة من الصناعات ذات الإيرادات التي تزيد عن مليون دولار أمريكي، باستثناء المنظمات في قطاعات الرعاية الصحية والحكومة والنفط والغاز والقطاعات غير الربحية.
التحليل
في 21 يوليو 2021، نشر مشغلو BlackMatter ransomware منشورًا على منتدى الجرائم الإلكترونية الروسي يطلبون فيه شراء الوصول بكميات كبيرة لمواقع مختلفة، بما في ذلك الولايات المتحدة والمملكة المتحدة وأستراليا. تم استبعاد الصناعات التالية بشكل صريح من قائمة أهدافها:- الرعاية الصحية
- البنية التحتية الحيوية
- النفط والغاز
- دفاع
- غير ربحي
- المؤسسات الحكومية
إعلان BlackMatter على منتدى الجرائم الإلكترونية [/caption]
معلومات من التحليل الفني
استنادًا إلى بحث مفتوح المصدر، قرر باحثو CloudSek أن برنامج الفدية يحتوي على متغيرين يستهدفان أنظمة Windows و Linux، مع بعض التغييرات الطفيفة في وظائف التشفير الخاصة بهم. يقوم متغير Windows من برنامج الفدية BlackMatter بالوظائف التالية:- يتحقق برنامج الفدية من مستوى المستخدم الحالي وبناءً على ذلك يقوم بتصعيد الامتيازات لتجاوز UAC (التحكم في حساب المستخدم) عبر واجهة ICMluAutil COM.
- يستخدم برنامج الفدية آلية تعدد مؤشرات الترابط أثناء تعداد نظام الملفات وأثناء عملية التشفير باستخدام منفذ إكمال الإدخال/الإخراج.
- يقوم برنامج الفدية بتعداد موارد الشبكة بالإضافة إلى طلبات AD (Active Directory) باستخدام LDAP (بروتوكول الوصول الخفيف إلى الدليل).
- يستثني برنامج الفدية أدلة محددة وأسماء ملفات وامتدادات ملفات أثناء عملية التشفير. كما أنه يحذف النسخ الاحتياطية من الأدلة المستهدفة قبل بدء عملية التشفير.
- تقتل برامج الفدية عمليات محددة وتحذف أو توقف خدمات معينة على نظام الضحية.
- خوارزمية التشفير المستخدمة هي Salsa20 والمفتاح العام المستخدم لحماية مفتاح التشفير لـ Salsa20 هو RSA-1024.
- بعد التشفير، يقوم برنامج الفدية بتغيير اسم الملف إلى. ويسقط مذكرة فدية في كل مجلد باسم .readme.txt.
- يجمع برنامج الفدية معلومات حول الجهاز الضحية ويرسلها مرة أخرى إلى خادم C2 بتنسيق مشفر باستخدام خوارزمية تشفير AES-128 ECB عبر طلبات HTTP POST.
المعلومات التي تمت مشاركتها من قبل مشغلي برامج الفدية BlackMatter [/caption]
التأثير والتخفيف
تخفيف التأثير- يحذف برنامج الفدية النسخ الاحتياطية من الأدلة المستهدفة، مما يمنع استعادة البيانات.
- يستخدم برنامج الفدية تقنيات مكافحة VM ومكافحة تصحيح الأخطاء لمنع الهندسة العكسية لبرامج الفدية.
- تقوم برامج الفدية بتشفير ملفات الضحية، مما يجعلها غير قابلة للوصول.
- برنامج الفدية قادر أيضًا على تسريب البيانات إلى خادم المهاجم، والتي يمكن استخدامها لابتزاز الضحية.
- قم بتحديث التطبيقات والأنظمة بأحدث التصحيحات والتحديثات.
- استخدم حلول EDR لمراقبة الشبكة.
- استخدم أحدث منتجات الشذوذ ومكافحة الفيروسات مع أحدث إصدار.
- إجراء برامج التوعية الأمنية والتدريب للموظفين، على أساس منتظم.
- تجنب النقر على الروابط الضارة أو المشبوهة.
- تجنب تنزيل المستندات الضارة من مصادر غير موثوقة أو مشبوهة.
بروتوكولات HTTP وICOs
التكتيكات والتقنيات والإجراءات- تصعيد الامتياز:
- إساءة استخدام آلية التحكم في الارتفاع: T1548.002: تجاوز التحكم في حساب المستخدم
- التهرب الدفاعي:
- إساءة استخدام آلية التحكم في الارتفاع: T1548.002: تجاوز التحكم في حساب المستخدم
- T1027: ملفات أو معلومات غامضة
- الاكتشاف:
- T1482: اكتشاف ثقة المجال
- T1083: اكتشاف الملفات والدليل
- T1135: اكتشاف مشاركة الشبكة
- T1057: اكتشاف العملية
- T1033: اكتشاف مالك النظام/المستخدم
- T1007: اكتشاف خدمة النظام
- القيادة والتحكم:
- T1001: تشويش البيانات
- عملية الاستخراج:
- T1041: التسلل عبر قناة C2
- التأثير:
- T1486: البيانات المشفرة للتأثير
- T1490: منع استعادة النظام
- T1489: إيقاف الخدمة
مؤشرات التسوية
- الدومين
- Paymenthacks.com
- موجو إيدن. كوم
- بلاك ماترس الولايات المتحدة الأمريكية.
- شركة بلاك ماتر. كوم
- المادة السوداء على الإنترنت
- بلاك ماتر يعيش. biz
- مدونة بلاك ماترز. كوم
- نادي بلاك ماتر
- جميع المواد السوداء - Podcast.com
- لايف بلاك ماتر. كوم
- متجر بلاك ماترشوب. كوم
- جميع المواد السوداء - Podcast.info
- التسوق أثناء استخدام موقع Blackmatters.com
- بلاك ماتر. سبيس
- بلاك ماترز. وورلد
- استوديوهات بلاك ماتر. كوم
- بلاكماتر.xyz
- بلاك ماتر.تيك
- علاجات المادة السوداء.
- uberblackmatters.com
- hireblackmatters.com
- بلاكماترماركتينج. كوم
- بلاك ماترليفس.net
- بلاك ماتر ميديا. كوم
- mypackmattersny.com
- الاطلاع على موقع blackmatters.com
- shopblackmatter.com
- بلاك ماتربودكاست.com
- بلاك ماترapparel.com
- بلاك ماترapparel.net
- المادة السوداء apparel.info
- موقع blackmatters.com الخاص بك
- بلاك ماترفاير آرمس. كوم
- العمل الجماعي لموقع blackmatters.com
- موقعنا blackmatters.com
- allblackmatter.com
- ستوديوبلاكماتر.com
- المادة السوداء. الحياة
- كل شيء على موقع بلاك ماتر. كوم
- بلاك ماتر14.com
- بلاك ماتر 15.com
- أصوات بيضاء blackmatters.com
- دليل بلاك ماترز. كوم
- myplackmatter.com
- فايل هاش
- 598c53bfe81e489375f09792e4871e4871a
- 605 × 939941 × 5 × 2 × 5 ديسيبل × 8 × 84 سم × 4
- 3f9a28e8c057e7e7ec7ccf15a4d81f362
- a3cb3b02a683275 f7e0a0f8a9a5c9e07
- الملكية الفكرية
- 51.79.243.236
- 131.107.255.255
